Aladdin JMS

Миграция данных не затрагивает базу данных JMS — состояние и содержимое устройств остаются неизменными. После переноса в Indeed CM для всех перенесенных устройств и сертификатов доступны все возможные операции: выпуск, обновление содержимого, отзыв и другие.

Утилита миграции переносит в Indeed CM следующие данные устройств:

• Модель
• Форм-фактор
• Состояние
• Метка
• PIN-код администратора
• Ключевая информация для JMS-коннектора MS PKI (9C66741E-E5B1-40E3-B047-9A2D598CA913):
  • Выпущенные на УЦ
  • Отслеживаемые (выпущены на стороннем УЦ)
• Связь с пользователем

предупреждение

Для JaCarta PKI/ГОСТ информация о приложении ГОСТ-апплете не импортируется. В Indeed CM возможны операции только с PKI-областью устройства.

В Indeed CM не переносятся следующие данные:

• Метки АМДЗ Аккорд
• Сертификаты Валидата УЦ
• Сертификаты КриптоПро УЦ

Если такие данные есть на устройстве, то они не отображаются в Indeed CM после переноса, но остаются на устройстве.

Предварительные настройки

Миграция данных возможна при соблюдении условий:

• У сервера JMS, на котором выполняется запуск утилиты миграции, есть сетевой доступ к серверу с базой данных Indeed CM.
• Каталог пользователей Indeed CM совпадает с каталогом пользователей JMS. Путь к каталогу пользователей задается в разделе Каталог пользователей Мастера настройки Indeed CM.
• В разделе Конфигурация → Типы устройств Indeed CM добавлены все типы устройств JaCarta, которые используются в JMS.
• В Indeed CM есть свободные лицензии: в разделе Конфигурация → Лицензии есть действующая лицензия на достаточное количество пользователей.
• На всех пользователей, устройства которых будут переноситься из JMS, должны быть назначены политики использования устройств в Indeed CM.
• В политиках Indeed CM настроены те же УЦ и те же шаблоны сертификатов, что и в JMS.

Создание политики использования устройств

Indeed Certificate Manager использует механизм политик выпуска устройств пользователям. Каждая политика содержит в себе параметры работы с устройством: перечень УЦ и шаблонов сертификатов, требования к установке PIN-кодов, перечень действий с устройством доступных пользователю и другие.

Каждая политика имеет область действия. Для каталога пользователей Indeed CM в Active Directory областью действия может быть:

• Домен (Domain)
• Контейнер (Container)
• Подразделение (Organizational Unit)

Для всех пользователей в пределах области действия политики будут выпускаться устройства с параметрами, определенными в этой политике. Политика может распространяться как на весь объект целиком (домен, контейнер или подразделение), так и на отдельные группы пользователей внутри него. Если пользователь попадает под действие нескольких политик выпуска устройств (например, состоит в двух группах в одном подразделении), применяется политика с наивысшим приоритетом.

Перед миграцией данных из JMS заранее создайте одну или несколько политик использования устройств в Indeed CM. Настройте в политике те же самые УЦ и шаблоны, которые использовались для выпуска сертификатов в JMS.

В результате миграции данных из JMS все пользователи, обладающие токенами и сертификатами, попадут под действие ранее созданных политик Indeed CM.

Процесс миграции

1. Настройте файл конфигурации утилиты миграции.
2. Запустите утилиту миграции.

Настройка файла конфигурации утилиты миграции

Для работы утилиты заполните файл конфигурации IndeedCM.Migrate.JMS.exe.config, находящийся в каталоге с утилитой.

1. Заполните параметры в секции <migrateJMSSettings>:
   • operatorTokenPin — PIN-код администратора устройства, на котором записан сертификат оператора JMS. Необходим для монтирования криптохранилища JMS.
   • notIssuedTokenAdminPin — если ключевой носитель в JMS находится в состоянии Зарегистрирован и ни разу не выпускался, то в этом параметре задается PIN-код администратора, который установится на устройстве после его переноса в Indeed CM.
   • issuedTokenAdminPin — если ключевой носитель в JMS находится в любом другом состоянии и выпускался без инициализации, то в параметре задается PIN-код администратора, который установится на устройстве после его переноса в Indeed CM.
2. В секции <sqlPersistenceSettings> заполните параметры подключения к базе данных Indeed CM. Всю секцию можно перенести из файла конфигурации appsettings.json веб-приложения mc (Консоль управления).
3. В секции <adUserCatalogSettings> заполните параметры подключения к каталогу пользователей. Всю секцию можно перенести из файла конфигурации appsettings.json веб-приложения mc (Консоль управления).

предупреждение

Секции sqlPersistenceSettings и adUserCatalogSettings должны быть в расшифрованном виде. Для расшифровки секций используйте файл decryptConfigsSQL_AKEAgent.bat из дистрибутива сервера Indeed CM, каталог ..\Misc\EncryptConfigs. Запустите файл на сервере Indeed CM в командной строке, запущенной от имени администратора, и дождитесь завершения расшифровки. Для шифрования используйте файл encryptConfigsSQL_AKEAgent.bat.

Работа с утилитой миграции

Запустите утилиту IndeedCM.Migrate.JMS.exe на сервере JMS в командной строке, запущенной от имени администратора.

Для работы с резервной копией базы данных JMS необходимо прописать в реестре сервера JMS путь к копии рабочей базы данных.

По умолчанию строка подключения к базе хранится в значении параметра ConnectionString в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin\Enterprise Application Platform Server\JaCarta Management System\default\DatabaseManager].